SourceCodester Student Result Management System HTTP GET Request login_credentials.txt 文件中明文存储

在 SourceCodester 的 Student Result Management System 1.0 版本中发现了一个关键漏洞 (CVE-2026-5531)。此安全缺陷允许将登录凭据以明文形式存储在 /login_credentials.txt 文件中。受影响的组件是 HTTP GET 请求处理程序，这意味着远程攻击者无需内部网络访问即可利用此漏洞。漏洞的严重程度在 CVSS 规模上评为 5.3，表明存在中等风险。此漏洞的公开披露增加了被利用的风险，因为攻击者现在了解此缺陷并可以开发利用其的漏洞。目前没有可用的修复程序进一步加剧了这种情况，使用户在应用补丁之前处于脆弱状态。

Organizations utilizing SourceCodester Student Result Management System versions 1.0.0 through 1.0, particularly those hosting the application on shared hosting environments or without robust file system access controls, are at significant risk. Educational institutions and schools relying on this system to manage student results are especially vulnerable.

• php / server:

find /var/www/html -name 'login_credentials.txt' -print

• generic web:

curl -I http://your-student-result-system.com/login_credentials.txt

Check for a 200 OK response, indicating the file is accessible. • generic web:

grep -r 'username:.*password:' /var/www/html

Search for username/password patterns in the codebase.

1. 2026-04-05Disclosure

   disclosure

1. 已保留2026-04-04
2. 发布日期2026-04-05
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-12

由于 CVE-2026-5531 目前没有官方修复程序，缓解措施应侧重于减少攻击面并限制对 /login_credentials.txt 文件的访问。强烈建议更改默认系统密码并应用最小权限原则，仅将此文件访问限制为授权用户。此外，请考虑实施更安全的密码管理系统，该系统不以明文形式存储凭据。监控系统日志以查找可疑活动也有助于检测和响应潜在攻击。一旦可用，升级到系统已修补的版本是最终解决方案。